Google邀請bug賞金獵人來審查其開源項目
Google邀請bug賞金獵人來審查其開源項目
谷歌希望通過對發現的bug提供獎勵來提高其開源項目和這些項目的第三方依賴關系的安(ān)全性。
“根據漏洞的嚴重程度和項目的重要性,獎勵将從100美元到31337美元不等。更大的金額也将用(yòng)于不尋常或特别關鍵的漏洞,用(yòng)于鼓勵創造力,”谷歌員工(gōng)弗朗西斯·佩龍(Francis Perron)和科(kē)托維茨(Krzysztof Kotowicz)解釋道。
Google為(wèi)其開源軟件中(zhōng)的漏洞提供獎勵
谷歌的開源軟件漏洞獎勵計劃(OSS VRP)包括:
•存儲在谷歌擁有(yǒu)的GitHub組織的公(gōng)共存儲庫中(zhōng)的開源軟件的最新(xīn)版本,以及托管在其他(tā)平台上的選定存儲庫
•存儲庫配置設置(例如,GitHub操作(zuò)、訪問控制規則、GitHu應用(yòng)程序配置)
•第三方依賴關系中(zhōng)的漏洞(如果它們可(kě)以在谷歌開源項目中(zhōng)觸發或利用(yòng))
“首先,我們歡迎提交文(wén)件指出影響源代碼或構建完整性的漏洞,這些漏洞可(kě)能(néng)會導緻供應鏈受損。供應鏈漏洞包括破壞Google OSS源代碼的能(néng)力,以及通過包管理(lǐ)器分(fēn)發給用(yòng)戶的構建工(gōng)件或包,”谷歌指出。
他(tā)們還希望在Google OSS中(zhōng)出現導緻産(chǎn)品漏洞的設計或實現問題時得到警告(例如 memory corruption issues in file format parsers or network protocol implementations, failures in the sanitizer functions, path traversal issues等)
最後,他(tā)們希望了解可(kě)能(néng)影響目标項目安(ān)全的各種問題,如個人項目中(zhōng)存儲的敏感憑據、不安(ān)全的安(ān)裝(zhuāng)/軟件使用(yòng)說明、公(gōng)共存儲備份中(zhōng)的憑據洩漏等。
對于谷歌旗艦OSS項目中(zhōng)報告的漏洞,獎勵将更高,例如:
•Bazel(軟件構建和測試自動化工(gōng)具(jù))
•Angular(web應用(yòng)程序框架)
•Go(lang)編程語言
•Protocol Buffers(用(yòng)于序列化結構化數據的數據格式)
•Fuchsia OS
谷歌表示,随着時間的推移,其他(tā)項目也将加入這一計劃,并指出,提交導緻供應鏈妥協的漏洞可(kě)能(néng)會得到高達31337美元的賞金。
對于标準OSS項目中(zhōng)的bug,獎勵要低得多(duō),對于低優先級OSS項目(例如,社區(qū)影響小(xiǎo)、沒有(yǒu)可(kě)執行代碼的項目)中(zhōng)的bug也沒有(yǒu)獎勵。
改善供應鏈安(ān)全
Perron和Kotowicz補充說:“這項新(xīn)計劃的加入解決了日益普遍的供應鏈受到威脅的現實。”。
“去年,針對開源供應鏈的攻擊比去年增加了650%,包括Codecov和Log4j漏洞等頭條新(xīn)聞事件,這些事件顯示了單一開源漏洞的破壞潛力。谷歌的OSS VRP是我們100億美元改善網絡安(ān)全承諾的一部分(fēn),包括保護供應鏈抵禦此類型的攻擊,同時也為(wèi)谷歌全球用(yòng)戶和開源用(yòng)戶提供保護。”
相關新(xīn)聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發布新(xīn)版本4.51.113.0
-
>什麽是數據工(gōng)程師?
-
>IPguard發布新(xīn)版本4.61.123.0
-
>祝賀我司續簽IPguard鑽石代理(lǐ)(最高級)
-
>IPguard發布新(xīn)版本4.54.818.0
-
>GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
-
>屏幕水印技(jì )術有(yǒu)哪些表現形态
-
>IPguard發布新(xīn)版本4.53.613.0
-
>修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
